在校自己写了一个课程小程序,如何规避风险

177 天前
 yeibdyxdxs
今年一月的时候突发奇想逆向了学校的教务系统,遂发现了一个平行越权的漏洞,可以实现只需要学号,就能获取到该学号下的周课程,考试成绩,期末考试信息.然后我没想着报告漏洞,而是利用这个漏洞做了一款小程序出来,最开始只是方便我自己寝室使用,但最近学校官方的 app 跟系统崩溃了几天,导致我的小程序也宕机了一阵,结果学校的漏洞接口好了,但是它的登入鉴权没好,所以我的小程序利用漏洞率先恢复致使涌入了一大批用户.



**对此想问下各位大佬一些问题:**

1. 因为我临近大四,马上不在学校,马上成为校外人士,如果出现一些法律问题,可能没有校内学生那么好处理,是否要去联系学校做个备案
2. 但是我利用的教务系统漏洞,如果跟学校谈,学校修复了漏洞,我这个小程序也就马上死了,我又不想夭折的那么快
3. 或者说我可以把源码卖给学弟学妹??让我回本一下认证费服务器啥的可行吗
2087 次点击
所在节点    问与答
35 条回复
MMM25O7lf09iR4ic
176 天前
早点放手吧。。。 在校轻则开除,不在校轻则直接就业特殊公务员。
pelloz
176 天前
你在想啥呢,赶紧下架,删除代码,拒不承认。最多好心给教务处发个匿名邮件指出他们的漏洞。
我那个利用漏洞获利的学长被公安局从教室直接带走,可是吃了三年国家饭。当然他用的是腾讯的漏洞,你用的是学校的漏洞,但是性质没有区别!!
Light3
176 天前
规避风险 就是关了
等找到你的时候 你说啥也没用

你这基本就是刑的
毕竟在未经授权的情况下 侵入教务系统
而且获取学号就能获取各种信息
很刑 跟灰产没有任何区别
body007
176 天前
只需要学号就能获取信息,那么同学之间互查信息,是否构成侵犯隐私的行为。如果仍需要先登陆学校某系统才能看的话会好些(否则我作为用户肯定要举报的)。用户量越来越多,难保不会被学校知道,早点关了吧。
Mogugugugu
176 天前
好家伙、、、别以为不改数据就没事,把服务器搞挂了或者数据泄露了,学校反手就会报警,一查一个准,不是你全责也会把你牵扯出来。。。

都大四了稳稳当当的毕个业吧,这玩意可能不会出事,但是一旦出事,你这 4 年白混,甚至有概率进去吃三年饭,想想你能承担这个后果吗?
RangerWolf
176 天前
这么早就想吃皇粮吗?真刑啊你!
RangerWolf
176 天前
当然了,富贵险中求,致富之路都已经写好给大家看了,看你自己了~
jimages
176 天前
1. 这活我之前做过,日活 8k ,注册用户 3w 。不一样的是我让用户自己输入的教务密码,相对来说风险小一些。这个我们和教务处的老师沟通过,只要你不是恶意,问题不大。但最主要的问题不是这个。

2. 最主要的问题是你这个小程序不合规,你必须通过《教育移动互联网应用程序备案》,否则 APP 是不合规的,你都大四,就算是学校把你收归己有,也必须通过备案的。这个备案要求还挺高的。楼主可以看一下。
Jinnrry
176 天前
我大学的时候,跟学校领导关系很好,当时我们学校教务系统很垃圾,每次选课都崩溃,然后我帮忙加了几个索引,改了一些存储过程,后来选课,查成绩基本不会奔溃了。那之后学校领导把学校财务,教育,学工的系统全部给我维护了。(甚至正方的维护人员都得听我管)

然后我就直接连数据库,写了一套成绩查询,课表查询,学校领导高兴得不行,还专门从学校机房弄了台服务器给我,然后每个月走勤工助学给我发几百块维护费
q727729853
176 天前
凡是发现了 xxx 漏洞,并且以此获利的都是违法行为。
到时候有学生举报你什么的,轻则被学校请喝茶,重则可以免费进去吃几个月的饭了
q727729853
176 天前
@serafin 逆向发现漏洞。。到时候被逮到的时候,就不是一两句话就能撇清责任的了
43n5Z6GyW39943pj
176 天前
把东西做出来去教务处给他们展示, 看看能不能说服他们给你数据
后续发展论坛/外卖入驻
PingAn66
176 天前
建议现在就找学校相关的领导自首
BeforeTooLate
176 天前
还是算了吧,要么去和学校沟通让学校给你开放一个接口。但是你这只要学号就可以获取太扯了。
yeibdyxdxs
176 天前
下午去教务处谈了一下,学校持欢迎态度,你查可以,但是不能去改,遇到改的漏洞及时上报,不能泄露拿到的信息

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1045186

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX